[发明专利]一种MAC地址学习方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种MAC地址学习方法及装置。

背景技术

媒体访问控制(Media Access Control，MAC)地址，也称为硬件地址，是识别局域网中网络设备节点例如终端的标识，在网络底层的物理传输过程中，通过MAC地址可以实现不同网络设备之间的通信。

以太网是当今现有局域网采用的最通用的通信协议标准，以太网中进行数据传输的过程如下：以太网交换机根据接收到的终端发来的报文中携带的MAC地址，将报文转发到特定端口；这样一来，交换机必须记住对应端口的相关信息，这个信息通常存储在MAC表中，交换机通过MAC地址学习的方式来填充MAC表。

具体地，交换机在接收到该终端发来的报文之后，通过检查所接收到的报文中携带的MAC地址是否在MAC表中，如果检查出不在MAC表中，则学习该MAC地址，即创建一条MAC地址与端口互联的记录，对于此条记录，交换机学习到的这个MAC地址通常具有生存时间(即MAC地址的老化时间)，如果交换机在老化时间内没有重新学习到该MAC地址，这意味着MAC表中的这条记录已到期，从MAC表中删除。

需要说明的是，交换机对MAC地址的学习通常采用先收到先学习的方式，即不可抢占模式，如果交换机的MAC表已学满，那么，后续收到的报文不再进行MAC地址学习。

由于交换机的MAC表中MAC地址的容量是有限的，当局域网中存在攻击者时，攻击者利用交换机对MAC地址的学习功能，使交换机遭受大量的MAC地址的攻击；例如，向交换机发送大量不同MAC地址的报文，即以MAC地址进行泛洪，导致MAC表很快被学满，进而导致到达目的端口和来自未知地址的业务将被泛洪到交换机的所有端口，从而引起网络性能的明显下降；另外，如果攻击者保持非法MAC地址的泛洪，最后交换机学习到的所有较早的合法MAC地址由于老化将过期，导致所有合法的业务将被淹没；由此，从性能和安全这两个角度来看，MAC地址的泛洪攻击将会对网络造成重大影响。

针对上述情况，目前通常采用下述方式解决：

第一种方式，静态配置MAC地址，即，关闭交换机的MAC地址自动学习功能，收集交换机的各个端口下接入的终端的合法MAC地址，然后，根据收集的合法MAC地址，建立各个端口与各自接入的终端的MAC地址的对应关系。

第二种方式：动态学习MAC地址，即，限制交换机的单个端口上学习MAC地址的数量，由于MAC地址的泛洪攻击一般是从某个固定的端口进行攻击，因此通过限制单个端口的地址表容量，防止一个端口进来的攻击源把MAC地址表占满，以保证其他端口的正常运行。

从上述解决方式可以看出，不管采用哪种方式，均在一定程度上避免了MAC地址泛洪的问题，但是，如果采用第一种方式的话，需要人工进行静态配置，人力资源消耗较大，且在终端的位置改变或者更换时，均需要手工修改MAC表，操作不方便；如果采用第二种方式的话，虽然对交换机的单个端口上学习MAC地址的数量进行了限制，但并不知晓MAC表中各个端口对应的MAC地址是合法终端发出的，还是攻击者发出的，这样一来，在某个端口被攻击者攻击时，此端口下可学习的MAC地址数仍然很快学满，从而导致此端口下的合法终端无法正常使用网络。

发明内容

本发明实施例提供了一种MAC地址学习方法及装置，用以解决现有采用静态配置MAC地址导致操作不方便，且动态学习MAC地址在MAC地址泛洪时无法保证合法终端正常使用网络的问题。

基于上述问题，本发明实施例提供的一种MAC地址学习方法，包括：

交换设备确定自身通过任一端口接收到的终端发来的报文中携带的MAC地址，是否在预设的不可抢占式MAC表中，所述不可抢占式MAC表用于存储通过每个端口学习到的合法MAC地址；

若否，在确定出所述不可抢占式MAC表中的MAC地址数未达到设定数值时，将所述MAC地址添加到预设的可抢占式MAC表中，并确定所述报文是否为动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)报文，所述可抢占式MAC表用于存储通过每个端口学习到的疑似非法MAC地址，且与所述不可抢占式MAC表中的MAC地址总数不大于所述设定数值；

在确定出所述报文为DHCP报文时，将其转发，并监测所述终端与DHCP服务器的交互过程，在监测到DHCP服务器为所述终端成功分配IP地址后，将所述MAC地址作为合法MAC地址添加到所述不可抢占式MAC表中。

本发明实施例提供的一种MAC地址学习装置，包括：